Martin Roos, it-driftchef i Trollhättan
Vid en säkerhetsrevision upptäcktes brister i Trollhättans stads it-säkerhet. Obehöriga kunde ta sig in i nätverket utifrån utan att någon märkte något.
– Det känns både tryggt och skönt att till slut ha en effektiv 24/7-lösning på plats som säkrar it-miljön, säger Martin Roos, it-driftchef i Trollhättan efter valet att investera i SIEM och SOC som tjänst.
Tanken på att hackers eller andra obehöriga ska komma över känsliga uppgifter om enskilda invånare, eller hemligstämplat material om samhällsviktiga funktioner, är en mardröm för alla offentliga verksamheter. Framför allt står förtroendet på spel.
– Värst är kanske det som man inte märker med en gång, utan som visar sig efter ett tag. Att någon samlat på sig uppgifter och publicerar allt. Eller hotar med att göra det, att vi utsätts för utpressning. Eller ransomware där vi tvingas betala för att komma åt data, säger Martin Roos.
Som it-driftschef vet han hur avgörande det är att i tid upptäcka de varningssignaler som antyder att något ovälkommet kan vara på väg in i någon av stadens nätverk eller system; ovanlig utgående trafik från servar, suspekta eskaleringar av administratörsrättigheter, misstänkta lyckade autentiseringar från utlandet, eller krypteringar och filbeteenden som bryter mönstret.
”Det känns skönt att inte behöva tänka på det tidskrävande jobbet att behöva gå igenom loggarna. Personalen kan fokusera på drift och it-utveckling, och agerar på de incidenter som kräver åtgärder.”
— Martin Roos
400 verksamhetssystem att ha koll på
Med sina 2 000 accesspunkter, 20 000 enskilda enheter med tillgång till nätverket på olika sätt, 300 servrar, 400 verksamhetssystem och 9 100 brevlådor i Exchange har Trollhättans stad fullt upp bara med att sköta driften och verksamhetens utveckling. Att ovanpå det jaga potentiella hot i varje enskilt systems loggar för att eventuellt upptäcka misstänkta aktiviteter... nej, tiden fanns inte.
– Vi täppte igen hålen när vi blev varse dem, till exempel om någon i organisationen hörde av sig och klagade på att systemet var slött. Då gick vi in och undersökte. Men vi var helt blinda för om någon utifrån dag efter dag testade tusentals lösenord mot våra användar-ID:n.
– Som it-ansvarig är det förstås inte kul att få en anmärkning vid en säkerhetsrevision, men samtidigt bidrog det till att extra resurser tillsattes.
Misstänkta aktiviteter fångas nu upp automatiskt
Det här köper Trollhättans stad av Atea
Lösningen är SIEM och SOC som tjänst. Det innebär att Trollhättans it-tekniker inte själva behöver hålla sig uppdaterade på alla sätt som hackare kommer åt miljöer. Ateas expertis övervakar 24/7 och rapporterar om säkerhetsincidenter. Stadens lokala it-specialister får analyserna serverade, och kan ingripa snabbt och effektivt när så krävs, och ägna övrig tid åt driften och utveckling av verksamheten.
Ateas säkerhetsanalytiker övervakar och analyserar även it-relaterade hot och risker i infrastrukturen.
Tjänsten blir smartare och effektivare i takt med att fler organisationer ansluter sig. Förmågan att upptäcka risker och incidenter utvecklas i takt med att hackers och deras intrångsmetoder blir mer sofistikerade.
Säkerhetsrevisionen rekommenderade en SIEM-lösning för att på ett dynamiskt sätt fånga upp aktiviteter. Trollhättans stad valde att satsa på Ateas lösning "SIEM och SOC som tjänst". Det innebär att logghändelser från utvalda system samlas in automatiskt dygnet runt och analyseras av expertisen. It-avdelningen får kontroll och överblick över misstänkta säkerhetsincidenter, och dessutom stöd att prioritera incidenterna, tolka rapporter och fatta rätt beslut framåt.
– Min personal har skrikit efter en sådan här typ av lösning länge, så de är väldigt nöjda nu. På morgonen får de allt serverat, en analysrapport över misstänkta incidenter. De kan snabbt avgöra om dessa har naturliga förklaringar, eller om de kan vara allvarliga incidenter som kräver en närmare undersökning och direkta åtgärder.
Ateas tjänst anpassas efter den lokala it-miljön för att fungera optimalt. En stor del handlar om att lära upp algoritmerna att känna igen legitima aktiviteter i nätverket för att undvika "false positives", falsklarm.
– Det tog ett tag att tvätta larmen, skruva på de olika delarna och anpassa allt efter hur vår it-miljö ser ut. Det har krävts en hel del av oss för att få det här på plats, på det sätt vi vill.
Efter bakslag i början av projektet är Martin nu mer trygg inför nästa säkerhetsrevision
Trollhättan brottades även med flera bakslag i början av projektet.
– Resan blev gropigare än vi hade räknat med. Trots revisionen tog det ett tag att få loss pengar och förankra i organisationen, och ett par Atea-konsulter slutade, så vi behövde göra omtag. Men jag måste säga att Atea då skötte det hela väldigt snyggt och ställde upp mangrant, gav mer projektledarstöd och riggade upp för en bra fortsättning. Vi löste situationen tillsammans på ett väldigt bra sätt.
Han tittar nu på resultatet och säger:
– Det känns skönt att inte behöva tänka på det tidskrävande jobbet att behöva gå igenom loggarna. Personalen kan fokusera på drift och it-utveckling, och agerar på de incidenter som kräver åtgärder. Jag känner mig trygg i att vi klarar nästa säkerhetsrevision. Atea håller oss i handen.
Valde tjänsten i stället för produkten
Han berättar att han och hans it-driftteam övervägde att köpa in SIEM som produkt istället för att köpa tjänsten. Till slut blev det inte så.
Om SIEM och SOC som tjänst
Siem och Soc som tjänst hjälper dig att få kontroll, överblick och att upptäcka säkerhetsincidenter. Du får stöd att prioritera incidenterna, tolka rapporter och fatta rätt beslut framåt.